Dobrý den,
jaké jsou, prosím, podporované certifikační autority pro registraci certifikátu hostované spisové služby? Zkoušel jsem certifikát vydaný Sectigo ('CN=Sectigo RSA Domain Validation Secure Server CA, O=Sectigo Limited, L=Salford, ST=Greater Manchester, C=GB'), ale ten mi testovací prostředí odmítá s tím, že CA není podporována.
Související dotazy:
- Liší se nějak podporované CA na testovacím a produkčním prostředí?
- Lze tentýž certifikát použít na testovacím a současně produkčním prostředí?
- Jsou nějaké specifické požadavky na systémový certifikát, vyjma účely Client authentication?
Děkuji,
Ondřej Tučný
200.1 Re: podporované CA pro hostované spisové služby
602jsima 21.05.2021 11:07Dobrý den,
na VT i PROD jsou podporované pouze české kvalifikované autority (PostSignum, I.CA a eidentity).
Na VT navíc lze používat i testovací certifikáty PosSignum a I.CA.
Jeden certifikát lze použít na VT a PROD současně, ta dvě prostředí o sobě nevědí.
Specifické požadavky Vám z hlavy neřeknu, ale komerční certifikáty od výše uvedených CA to splňují. Doporučuji začít na VT testovacím PostSignem.
Jan Šíma
ISDS
200.2 Re: podporované CA pro hostované spisové služby
tucny@boldbrick.com 21.05.2021 14:48Děkuji za odpověď.
Testovací certifikát od PostSignum už mám. Nicméně stále dostávám chybu "Could not establish secure channel for SSL/TLS with authority 'ws1c.czebox.cz'". TLS 1.2 mám. Certifikát má 2048bitový klíč, používá SHA-256, je nainstalovaný v local machine certificate store (WS2019), certifikáty CA taky, vše trusted, software ho najde. TLS spojení se ale nesestaví.
Hledal jsem v historii diskuse, že už tu někdo stejný problém řešil, ale konkrétní radu jsem nenašel.
O.T.
200.2.1 Re: Re: podporované CA pro hostované spisové služby
602jsima 21.05.2021 16:09Dobrý den,
tak to teď na dálku těžko vyřešíme. Zkuste to znovu v pondělí, poznamenejte a pošlete si přesný čas, pod jakou schránkou je certifikát registrován, jaké url voláte, z jaké IP adresy, pokud víte atd. Zkusíme něco najít v logu.
Jen se ujistím: registrace certifikátu proběhla OK? Můžete poslat stránku Nastavení s tou registrací? Klient povolil HSS přístup? Můžete poslat stránku Nastavení s tím svolením? Pokud tyto dvě akce proběhly, tak už jediná možnost je chyba ve vašem kódu, s PostSignem se to testuje běžně.
Jan Šíma
ISDS
200.3 Re: podporované CA pro hostované spisové služby
tucny@boldbrick.com 21.05.2021 17:24Ano, certifikát mám zaregistrovaný OK. Povolenou hostovanou spisovku mám ve dvou schránkách taky OK.
ID schránek: io9ki8 (hlavní s certifikátem), jn8dsa (druhá).
Aplikace je .NET 4.7.x, používám WCF a konfigurace resp. kód sestavující endpoint je ověřený, na jiných endpointech s autentizací klientským certifikátem funguje. Myslím si, že to bude nějaká blbost buď ve vlastnostech certifikátu nebo v nastavení WCF endpointu.
O.T.
200.3.1 Re: Re: podporované CA pro hostované spisové služby
602jsima 21.05.2021 18:01Pokud se podařila registrace, tak je certifikát v pořádku a mělo by to fungovat.
Na VT se používá URL: https://ws1c.czebox.cz/hspis/DS/df (pro služby hledání) a pak je třeba zadat ID schránky klienta té hostované služby, myslím že do jména v hlavičce pro basic autentizaci.
Když se podíváte na vzorové příklady, tam je to ukázáno. I když pokud dobře vidím, tak zrovna příklad pro .NET má různé způsoby, ale hostovaná spisovka ne (netuším proč). Ale příklady pro PHP a Javu to mají, jistě to umíte přečíst.
Jinak se ozvěte v pondělí s tím přesným časem a kolegové se podívají do logu, snad tam něco bude.
Jan Šíma
ISDS
200.4 Re: podporované CA pro hostované spisové služby
tucny@boldbrick.com 22.05.2021 12:28V certifikátu opravdu problém není. Zkusil jsem režim spisové služby s vaším .NET příkladem a tam autentizace funguje bez problémů. Pokud ale použiju WCF klienta, tak autentizace certifikátem neprojde. Nedostane se to ani k ověření serverového certifikátu. Autentizace jménem a heslem funguje, takže ověření serverového certifikátu je také v pořádku i pod WCF. Domnívám se tedy, že problém bude v konfiguraci WCF endpointu. Zkoumám dál.
O.T.
200.5 Re: podporované CA pro hostované spisové služby
tucny@boldbrick.com 23.05.2021 15:43Dobrý den,
problém vyřešen — bylo to opravdu chybnou konfigurací WCF endpointu pro případ certifikát + username.
O.T.